Mirai变种将C2隐藏在Tor网络中

ang010ela 新闻 2019年8月8日发布
Favorite收藏

导语:​最新Mirai变种将C2隐藏在Tor网络中来实现匿名,致使无法上报C2服务器。

Mirai是最著名的IoT恶意软件之一,近期研究表明犯罪分子仍在不断开发和使用该恶意软件。

在发现Mirai变种Miori之后一个月,研究人员又发现一个新的Mirai样本。与之前的Mirai变种类似,它允许攻击者通过暴露的端口和IoT设备中的默认凭证来远程访问和控制,攻击者可以用受感染的设备通过UDP洪泛等方式发起DDOS攻击。与之前的变种相比,研究人员发现该样本将C2服务器隐藏在Tor网络中实现匿名化。将恶意C2服务器隐藏在无法报告和下线的暗网中逐渐成为IOT恶意软件的一种趋势,网络安全研究人员、企业和用户需要警惕这一趋势并着手应对。

Socks5协议和配置

一般的Mirai变种又1~4个C2服务器,本变种样本中又30个硬编码的IP地址。研究人员在沙箱环境中分析了恶意软件样本与服务器之间的通信。通过执行样本,样本会发送一个socks5协议初始握手消息——一个特定的序列05 01 00。然后研究人员将该消息发送到服务器并获得socs5响应05 00,确认这是到Tor网络的socks代理。Shodan扫描结果也表明有socks代理运行在服务器上。

 图1. Shodan扫描结果也表明有socks代理运行在服务器上

进一步分析表明恶意软件会从代理列表中随机选择一个服务器,以含有socks5的连接来说,并查询来实现到C2服务器地址nd3rwzslqhxibkl7[.]onion:1356的包中继。如果中继连接建立失败,就会尝试用另一个代理服务器处理。在测试环境中通过Tor代理连接到C2服务器之后,研究人员确认返回的是攻击者的登陆提示,与之前按Mirai变种返回的相同。

与之前的Mirai变种类似,配置值是用XOR和0x22(34)加密的,并潜入在二进制文件中。解密后,研究人员发现了可以识别该变种名的字符串LONGNOSE: applet not found。

感染、传播和DDOS命令

研究人员发现该样本会在TCP端口9527和34567来扫描随机的IP地址,这可能是IP摄像机和DVR用来远程访问和控制的端口。配置数据包括用来感染其他主机的默认凭证。

图2. 样本发往端口 9527的命令

图3. 样本发往端口34567的信息

通过分析样本使用的通信协议,研究人员发现除了使用socks5连接外,其他都是典型的Mirai变种协议。研究人员还发现一个字节序列表明是来自C2服务器的DDOS命令,针对特定IP地址发起UDP洪泛攻击。

图4. 解密的来自C2服务器的ddos命令相关样本

通过查找相关的样本和信息,研究人员发现了该开放源还保存了适用于其他设备架构的样本。

图5. 分发服务器的开放目录

结论

该Mirai样本的最大特征就是将C2服务器放置在Tor网络中来绕过IP地址追踪并防止域名被拉黑。在2017年有一款恶意软件BrickerBot也使用了类似的技术,BrickerBot在入侵IoT设备后会将设备变种,防止被Mirai感染,在感染1000万设备后作者宣布退出。

虽然之前也有报道称恶意软件开发者将C2隐藏在Tor网络中,研究人员这在未来的IoT恶意软件家族中会成为一种趋势。由于Tor网络的环境,服务器的匿名性,会让恶意软件创建者和C2服务器所有者无法追踪。而且网络流量可以伪装为合法应用,而且是加密的,因此难以被AV产品拦截。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/keeping-a-hidden-identity-mirai-ccs-in-tor-network/如若转载,请注明原文地址: https://www.4hou.com/info/news/19515.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论